Por: Ann Johnson, vicepresidenta corporativa, CISO adjunta, Oficina de Gestión de Seguridad del Cliente.

En Microsoft, la creación de una cultura de seguridad duradera es más que una prioridad estratégica: es un llamado a la acción. La seguridad comienza y termina con las personas, por lo que cada empleado desempeña un papel fundamental en la protección tanto de Microsoft como de nuestros clientes. Cuando las prácticas seguras se entrelazan con la forma en que pensamos, trabajamos y colaboramos, las acciones individuales se unen para formar una defensa unificada, proactiva y resiliente.

Durante el año pasado, hemos logrado avances significativos a través de la Iniciativa de Futuro Seguro (SFI), a través de la incorporación de la seguridad en cada capa de nuestras prácticas de ingeniería. Pero igual de importante ha sido nuestra transformación en la forma en que educamos e involucramos a nuestros empleados. Renovamos nuestro programa de capacitación en seguridad para empleados para abordar amenazas cibernéticas avanzadas como ataques habilitados por IA y deepfakes. Lanzamos Microsoft Security Academy para capacitar a nuestros empleados con rutas de aprendizaje personalizadas que crean una experiencia relevante. Hemos hecho de la cultura de seguridad un imperativo para toda la empresa, al reforzar la vigilancia, incorporar hábitos seguros en el trabajo diario y lograr lo que la tecnología por sí sola no puede. Es más que un cambio de mentalidad; es un movimiento de toda la empresa, liderado desde arriba y que establece un nuevo estándar para la industria.

Descubran más sobre Microsoft Secure Future Initiative

Para ayudar a otras organizaciones a tomar medidas similares, presentamos dos nuevas guías, centradas en la protección de la identidad y  la defensa contra los ataques habilitados por IA, que ofrecen información procesable y herramientas prácticas. Estos recursos están diseñados para ayudar a las organizaciones a repensar su enfoque con el fin de ir más allá del contenido de nivel 101 (para principiantes) y construir una cultura de seguridad que sea resiliente, adaptable y basada en las personas. Porque en ciberseguridad, la cultura es más que una defensa: es la diferencia entre reaccionar a las amenazas cibernéticas y adelantarse a ellas.

Capacitación para la seguridad proactiva: impulsar a los empleados en una nueva era de amenazas avanzadas

La seguridad es responsabilidad de todos los empleados de Microsoft, y hemos tomado medidas deliberadas para hacer que esa responsabilidad sea tangible y procesable. Durante el año pasado, hemos trabajado de manera ardua para reforzar una mentalidad de seguridad primero en todas las partes de la empresa, desde ingeniería y operaciones hasta atención al cliente, para garantizar que la seguridad sea una responsabilidad compartida en todos los niveles. A través de una formación rediseñada, una orientación personalizada, ciclos de retroalimentación regulares y expectativas específicas de cada función, fomentamos una cultura en la que la concienciación sobre la seguridad es instintiva y obligatoria.

A medida que los ciberatacantes se vuelven cada vez más sofisticados, a través de la utilización de IA, deepfakes e ingeniería social, también debe hacerlo la forma en que educamos y empoderamos a los empleados. El equipo de capacitación en seguridad de Microsoft ha revisado su programa de aprendizaje anual para reflejar esta urgencia. Nuestra capacitación está diseñada de manera cuidadosa para ser aún más accesible e inclusiva, construida a partir de la empatía por todos los roles laborales y el trabajo que realizan. Esto ayuda a garantizar que todos los empleados, sin importar su formación o experiencia técnica, puedan interactuar a plenitud con el contenido y aplicarlo de manera significativa. El resultado es una cultura de seguridad duradera que los empleados no solo adoptan en su trabajo, sino que también llevan a su vida personal.

Para garantizar que nuestra cultura de seguridad duradera se base en las ciberamenazas y tácticas del mundo real, hemos seguido con el impulso de nuestra serie Security Foundations para presentar contenido dinámico e informado sobre amenazas y escenarios del mundo real. También hemos actualizado el contenido de capacitación en temas tradicionales como phishing, suplantación de identidad y ciberataques habilitados por IA como deepfakes. Todos los empleados y pasantes de tiempo completo deben completar tres sesiones al año (90 minutos en total), con contenido recién creado cada año.

La capacitación en seguridad debe resonar tanto en el lugar de trabajo como en el hogar para crear un impacto duradero. Es por eso que equipamos a los empleados con una herramienta de autoevaluación que brinda comentarios personalizados y basados en el riesgo sobre la protección de la identidad, junto con orientación personalizada para ayudar a proteger sus identidades, tanto en el trabajo como en su vida personal.

Los ingredientes para una formación en seguridad exitosa

En Microsoft, el éxito de nuestros programas de capacitación en seguridad depende de varios ingredientes cruciales: contenido fresco y basado en riesgos; colaboración con expertos internos; y un enfoque implacable en la relevancia y la satisfacción de los empleados. En lugar de reciclar material viejo, reconstruimos nuestra capacitación desde cero cada año, impulsados por el cambiante panorama de las amenazas cibernéticas, no solo por los requisitos de cumplimiento. Cada programa anual comienza con un enfoque basado en el riesgo informado por una extensa red de escucha que incluye expertos internos en inteligencia de amenazas, respuesta a incidentes, riesgo empresarial, riesgo de seguridad y más. Juntos, identificamos las principales amenazas cibernéticas en las que el juicio y la toma de decisiones de los empleados son esenciales para mantener la seguridad de Microsoft, y cómo evolucionan esas ciberamenazas.

Tomemos la ingeniería social, por ejemplo. Este tema es una inclusión constante en nuestra capacitación porque alrededor del 80% de los incidentes de seguridad comienzan con un incidente de phishing o un compromiso de identidad. Pero no enseñamos phishing 101, ya que esperamos que nuestros empleados ya tengan conciencia fundamental de esta amenaza cibernética. En cambio, nos sumergimos en amenazas de identidad emergentes, escenarios de ciberataques del mundo real y ejemplos de cómo los ciberatacantes se vuelven más sofisticados y escalan más rápido que nunca.

El impacto que tenemos en la cultura de seguridad de Microsoft no es casual, ni anecdótico. El equipo de Educación y Concientización de la Oficina del Jefe de Seguridad de la Información (OCISO, por sus siglas en inglés) aplica la ciencia del comportamiento, la teoría del aprendizaje de adultos y el diseño centrado en el ser humano al desarrollo de cada curso de Fundamentos de Seguridad. Esto asegura que la capacitación resuene, se adhiera y potencie el cambio de comportamiento. También medimos de manera continua la satisfacción del alumno y la relevancia del contenido, que han aumentado de manera significativa en los últimos años. Atribuimos este cambio positivo a la continua innovación y evolución de nuestro contenido y a la mayor atención que prestamos a las necesidades culturales y de aprendizaje de nuestros empleados.

Por ejemplo, la serie de capacitación Security Foundations es, de manera consistente, uno de los cursos de capacitación para empleados requeridos mejor calificados en Microsoft. Nuestras encuestas posteriores a la capacitación cuentan una historia clara: los empleados se ven a sí mismos como participantes activos para mantener la seguridad de Microsoft. Se sienten seguros al identificar amenazas, saben cómo escalar problemas y refuerzan de manera constante que la seguridad es una prioridad máxima en todos los roles, regiones y equipos.

Esta fue una de las mejores Security Foundations que he tomado, ¡bien hecho! El énfasis en los posibles ataques deepfake fue esclarecedor y sorprendente, pensé que era una gran elección hacer deepfake [de nuestro actor] para mostrar lo real que suena y mostrar en tiempo real lo que es posible para obtener ese énfasis. La autoevaluación también fue excelente en términos de mostrar las áreas en las que necesito trabajar y tener más precaución.

—Empleado de Microsoft

Hoy en día, el compromiso con la capacitación de Security Foundations es fuerte, con el 99% de los empleados que completan cada curso. La satisfacción de los alumnos sigue en aumento, y la puntuación neta de satisfacción ha pasado de 144 en el año fiscal 2023 a 170 en la actualidad. Los puntajes de relevancia han seguido una tendencia similar, con un aumento de 144 en el año fiscal 2023 a 169 en la actualidad.¹ Estos puntajes reflejan que nuestros empleados consideran que el contenido de la capacitación en seguridad es oportuno, aplicable y procesable.

El liderazgo de Microsoft marca la pauta

Nuestro cambio de cultura de seguridad comenzó desde arriba, con la orden del director ejecutivo (CEO, por sus siglas en inglés) Satya Nadella sobre que la seguridad sea la principal prioridad de la empresa. Su directiva a los empleados es clara: cuando la seguridad y otras prioridades entran en conflicto, la seguridad siempre debe tener prioridad. La directora de personal (CPO, por sus siglas en inglés) Kathleen Hogan reforzó este compromiso en un memorando para toda la empresa, donde afirma: «Todos en Microsoft tendrán la seguridad como una Prioridad Central. Cuando se enfrenten a un conflicto de prioridades, la respuesta es clara y simple: la seguridad por encima de todo».

La prioridad principal de seguridad continúa con las mejoras en la capacitación de los empleados en torno a la seguridad en Microsoft. A partir de diciembre de 2024, cada empleado tenía una prioridad central de seguridad definida y discutía su impacto individual durante los controles de desempeño con su gerente. Hogan explica que esta no es una promesa única, sino una responsabilidad continua no negociable compartida por todos los empleados. «La prioridad central de seguridad no es un ejercicio de cumplimiento de marcar la casilla; es una forma para que todos los empleados y gerentes se comprometan y sean responsables de priorizar la seguridad, y una forma de codificar sus contribuciones y reconocerlos por su impacto», dijo. «Todos debemos actuar con una mentalidad donde la seguridad es primero, hablar y buscar oportunidades de manera proactiva para garantizar la seguridad en todo lo que hacemos».

Este compromiso está integrado en la forma en que Microsoft gobierna y opera en los niveles más altos. Durante el año pasado, el equipo de liderazgo sénior de Microsoft se ha centrado en evaluar el estado de nuestra cultura de seguridad e identificar formas de fortalecerla. El desempeño de la seguridad se revisa en reuniones ejecutivas semanales con inmersiones profundas en cada uno de los seis pilares de nuestra Iniciativa de Futuro Seguro. La Junta Directiva recibe actualizaciones periódicas, lo que refuerza el mensaje de que la seguridad es una preocupación a nivel de la junta. También hemos reforzado nuestro compromiso con la seguridad al vincular de manera directa la compensación del liderazgo con los resultados de seguridad, lo que eleva la seguridad al mismo nivel de importancia que el crecimiento, la innovación y el rendimiento financiero. Al utilizar la compensación ejecutiva como un mecanismo de responsabilidad vinculado a métricas específicas de rendimiento de seguridad, hemos impulsado mejoras medibles, en especial en áreas como la higiene secreta en nuestros repositorios de código.

Reforzar la cultura de seguridad a través del compromiso y la contratación

La cultura de seguridad no se construye en una sola sesión de capacitación; se mantiene a través de un compromiso continuo y un refuerzo visible. Para mantener la seguridad en primer lugar, Microsoft realiza campañas de concientización periódicas que revisan los conceptos básicos de capacitación y comparten actualizaciones oportunas en toda la empresa. Estas campañas abarcan plataformas internas como Microsoft SharePoint, Teams, Viva Engage y señalización digital global en oficinas. Esto crea un ritmo de tambor consistente que incorpora la seguridad en los flujos de trabajo diarios a través de recordatorios que refuerzan los comportamientos clave.

A partir de otoño de 2025, el programa de embajadores de seguridad global activará una red de base de defensores de confianza dentro de equipos y departamentos en todas las organizaciones y geografías. Con el objetivo de alcanzar al menos el 5% de participación de los empleados, estos embajadores servirán como campeones locales, para ayudar a amplificar las iniciativas, ofrecer orientación entre pares y ofrecer comentarios valiosos desde la primera línea. Este enfoque no solo mantiene el compromiso, sino que garantiza que la estrategia de seguridad de Microsoft se base en información del mundo real de toda la organización. A medida que los ciberatacantes continúan con su avance, nuestros empleados deben aprender y adaptarse de manera constante. Por esta razón, la seguridad es un recorrido continuo que requiere una cultura de mejora continua, donde las lecciones de los incidentes se utilizan para actualizar las políticas y estándares, y donde los comentarios de los empleados ayudan a dar forma a futuras estrategias de capacitación y compromiso.

La cultura de la seguridad es tan fuerte como las personas que la viven. Es por eso que Microsoft invierte de manera importante en talento para escalar sus defensas a través de la mejora de las habilidades y la contratación. A través del aumento resultante de ingenieros de seguridad, nos aseguramos de que cada equipo, producto y cliente se beneficie de lo último en pensamiento y experiencia en seguridad.

Integración de la seguridad en la ingeniería

El liderazgo de la empresa establece la visión, pero la transformación real ocurre cuando la seguridad se integra en nuestra ingeniería. Vamos más allá de la simple aplicación de marcos de seguridad, al rediseñar la manera en que diseñamos, probamos y operamos la tecnología a escala. Para impulsar este cambio, hemos alineado nuestras prácticas de ingeniería con el pilar Protect Engineering Systems de SFI, para integrar la seguridad en cada capa de desarrollo, desde la protección de la identidad hasta la detección de amenazas. Nuestro ciclo de vida de desarrollo de seguridad (SDL, por sus siglas en inglés) de Microsoft, una vez publicado como una metodología independiente, ahora está integrado a profundidad en el pilar Secure by Design de SFI, lo que garantiza que la seguridad sea parte del proceso, desde la primera línea de código hasta la implementación final.

Hemos integrado DevSecOps y estrategias de cambio a la izquierda a lo largo de nuestro ciclo de vida de desarrollo, respaldados por nuevos modelos de gobernanza y estructuras de responsabilidad. Cada división de ingeniería ahora tiene un Director Adjunto de Seguridad de la Información (CISO, por sus siglas en inglés) responsable de integrar la seguridad en sus flujos de trabajo. Estas prácticas reducen costos, minimizan las interrupciones y, en última instancia, conducen a productos más resistentes.

Según SFI, la seguridad se trata como un atributo central de la innovación, la calidad, la innovación y la confianza del producto. Y a medida que Microsoft redefine cómo se integra la seguridad en la ingeniería, también transformamos la manera en que se vive. Esto significa proporcionar a cada empleado la conciencia y la agilidad necesarias para contrarrestar las amenazas cibernéticas más avanzadas.

La cultura de seguridad como una cuestión de confianza empresarial

Para Microsoft, una sólida cultura de seguridad nos ayuda a proteger los sistemas internos y a mantener la confianza de los clientes y socios. Con una presencia global, una amplia huella de productos y una base de clientes que abarca casi todas las industrias, incluso un solo lapso puede tener un impacto a una escala en la que incluso un solo lapso de seguridad puede tener implicaciones de gran alcance. Integrar la seguridad en todas las capas de la empresa es complejo y esencial, e implica algo más que herramientas de vanguardia o políticas aisladas. Nuestra mentalidad de empleado que prioriza la seguridad no es una función discreta, sino algo que informa cada función, decisión y flujo de trabajo. Y si bien las herramientas son indispensables para abordar las amenazas cibernéticas técnicas, es la cultura la que garantiza que esas herramientas se apliquen, refinen y escalen de manera consistente en toda la organización.

Allanar el camino para una cultura de seguridad duradera

La famosa cita atribuida al renombrado consultor de gestión Peter Drucker de que «la cultura se come a la estrategia para el desayuno» es en especial cierta en ciberseguridad. No importa cuán bien diseñada esté una estrategia de seguridad, no se puede tener éxito sin una cultura que la respalde y la sostenga. En última instancia, la fórmula para la seguridad proactiva en Microsoft se basa en tres elementos conectados: personas, procesos y cultura. Y aunque hemos logrado un progreso significativo en los tres frentes, el trabajo nunca termina. El panorama de la ciberseguridad cambia de manera constante y, con cada nuevo desafío, surge la oportunidad de adaptarse, mejorar y liderar.

La decisión de Microsoft de tratar la seguridad no como una disciplina aislada, sino como un valor fundamental, algo que informa cómo se construyen los productos, cómo se evalúan los líderes y cómo los empleados de toda la empresa se presentan todos los días, es un aspecto central de SFI. Esta iniciativa ya ha dado lugar a mejoras medibles, incluido el nombramiento de CISO adjuntos en todas las divisiones de ingeniería, el rediseño de la capacitación de los empleados para reflejar las amenazas habilitadas por IA y el próximo lanzamiento de programas de base como el programa global de embajadores de seguridad.

Microsoft Secure Future Initiative es nuestro compromiso de crear una cultura duradera que incorpore la seguridad en cada decisión, cada producto y cada mentalidad de los empleados. Invitamos a otros a unirse a nosotros y transformar la forma en que se vive la seguridad. Porque en el panorama actual de amenazas, la cultura no es solo una defensa, sino que marca la diferencia.

La seguridad por encima de todo con la Iniciativa Futuro Seguro

Cultura en las prácticas: herramientas para construir una mentalidad de seguridad primero

Para reforzar una mentalidad de seguridad en el trabajo y el hogar, hemos desarrollado los siguientes recursos para nuestros empleados internos. También los ponemos a su disposición para ayudar a impulsar el mismo compromiso en su organización.

• Guía de protección de identidad: “Prácticas críticas de protección de identidad para reducir el riesgo de ciberataques» de un ciberataque, en el trabajo y en el hogar.
• Fundamentos de seguridad: protección contra ataques impulsados por IA: Una guía de referencia para detectar y protegerse contra ciberataques impulsados por IA.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

¹Datosinternos de Microsoft.